image

'Net Verkeer & Waterstaat snel gekraakt'

vrijdag 8 februari 2002, 09:36 door Redactie, 16 reacties

Het computernetwerk van het ministerie van Verkeer en Waterstaat, V&W-net, en een intern netwerk van Rijkswaterstaat zijn slecht beveiligd. Een ingehuurde hacker kraakte binnen de kortste keren het systeem en verkreeg alle netwerkrechten. meldt Planet Multimedia naar aanleiding van berichtgeving op een forum.

Reacties (16)
08-02-2002, 10:15 door Anoniem
"Opmerkelijk is, behalve het gemak waarmee het netwerk van Verkeer en Waterstaat te kraken blijkt te zijn, dat het nog 5 uur moest duren voordat een van de betrokken netwerkbeheerders kwam vragen waar de persoon toch mee bezig was.

Tijdens een speciale evaluatiedag werd de actie besproken, en geconcludeerd dat de zwakste schakel in het gehele beveiligingsproces 'de mens' was."

'De mens', je blijft lachen met die ambtenaren :'-(
08-02-2002, 15:38 door Anoniem
'De mens', je blijft lachen met die ambtenaren :'-( [/B][/QUOTE]
GOEDKOOP hoor.
08-02-2002, 16:30 door Anoniem
Originally posted by guest
'De mens', je blijft lachen met die ambtenaren :'-(

GOEDKOOP hoor. [/B][/QUOTE]
Zeker een ambtenaar? ;-)

Maar goed, het zijn ook mensen, alleen zijn er een beetje te veel van.
09-02-2002, 01:37 door Anoniem
`op een forum` ? :)
09-02-2002, 01:59 door Anoniem
Originally posted by
`op een forum` ? :)

http://www.securitydatabase.net

staan vaker nieuwtjes en exclusieve verhalen
09-02-2002, 15:00 door Anoniem
Originally posted by Dr Otto
"Opmerkelijk is, behalve het gemak waarmee het netwerk van Verkeer en Waterstaat te kraken blijkt te zijn, dat het nog 5 uur moest duren voordat een van de betrokken netwerkbeheerders kwam vragen waar de persoon toch mee bezig was.

Tijdens een speciale evaluatiedag werd de actie besproken, en geconcludeerd dat de zwakste schakel in het gehele beveiligingsproces 'de mens' was."

'De mens', je blijft lachen met die ambtenaren :'-(

Een inbraak van binnen uit (de hacker was intussen een ingehuurde medewerker) is altijd makkelijk te plegen.

Zelden is het zo dat alle gebruikers in een bedrijf voldoen aan maar de simpelste wachtwoordvereisten.

Blijkbaar staat beveiliging niet hoog genoeg op de agenda van de verantwoordelijken.

"wanneer functionaliteit in het geding komt, gaat beveiliging het raam uit"

een beetje goedkoop om in dit geval "de mens" of "ambtenaren" op de korrel te nemen.
(waarschijnlijk schrik je van het aantal externe consultants bij zo'n ministerie, die blijkbaar ook allemaal hebben gefaald...)
10-02-2002, 13:41 door Anoniem
Hoi Arne,
jij werkt toch ook bij Rijkswaterstaat als Ambtenaar en bij de Meet Informatie Dienst (MID) in Delft als beleidsmedewerker IT.
Als je je eigen nest zo smerig maakt door deze opmerkingen..
snap ik niet waarom je daar nog werkt.

En V&W (waaronder Rijkswatertstaat hangt) heeft toch zijn gehele netwerk uitbesteedt..aan een bedrijf "consortus" waarbij de MID toch optreedt als opdrachtgever..dit betekend toch dat niet de ambtenaar had moeten reageren maar het bedrijf...want die monitoren toch!
Is dit nu het voordeel van uitbesteden aan bedrijven van IT werk.
onder het toeziend oog van de MID.
En waarom kijk jij regelmatig naar dit Forum..ben je er beleidsmatig bij betrokken... Nu de mens als het zwakste schakel..meer hoef ik niet te zeggen. Volgens mij moet je baas eens ingelicht worden..
En dat het bij Rijkswaterstaat beter kan met de beveiliging dat is duidelijk..er wordt nu vooral gewerkt met de formele kant..regels..zoals het VIR... Maar krakers hebben andere regels..
Overigens denk niet dat het bij bedriven beter is...want deze site laat dit genoeg zien..


Originally posted by Dr Otto
"Opmerkelijk is, behalve het gemak waarmee het netwerk van Verkeer en Waterstaat te kraken blijkt te zijn, dat het nog 5 uur moest duren voordat een van de betrokken netwerkbeheerders kwam vragen waar de persoon toch mee bezig was.

Tijdens een speciale evaluatiedag werd de actie besproken, en geconcludeerd dat de zwakste schakel in het gehele beveiligingsproces 'de mens' was."

'De mens', je blijft lachen met die ambtenaren :'-(
10-02-2002, 15:21 door Anoniem
Ik wil niet zeuren maar dit is toch precies de bedoeling van een penetratietest, die mensen willen hun netwerk veilig hebben en sturen er een professional op af. Die vind fouten, so what? Nu weten ze waar de fouten zitten en kunnen ze die repareren. Meer bedrijven zouden eens iemand aan de deuren en ramen van hun systemen moeten laten rammelen. Huur eens een professional in, mij bijvoorbeeld :)
[email]n.teusink@planet.nl[/email]
10-02-2002, 15:36 door Anoniem
Originally posted by
Hoi Arne,
jij werkt toch ook bij Rijkswaterstaat als Ambtenaar en bij de Meet Informatie Dienst (MID) in Delft als beleidsmedewerker IT.
Als je je eigen nest zo smerig maakt door deze opmerkingen..
snap ik niet waarom je daar nog werkt.

En V&W (waaronder Rijkswatertstaat hangt) heeft toch zijn gehele netwerk uitbesteedt..aan een bedrijf "consortus" waarbij de MID toch optreedt als opdrachtgever..dit betekend toch dat niet de ambtenaar had moeten reageren maar het bedrijf...want die monitoren toch!
Is dit nu het voordeel van uitbesteden aan bedrijven van IT werk.
onder het toeziend oog van de MID.
En waarom kijk jij regelmatig naar dit Forum..ben je er beleidsmatig bij betrokken... Nu de mens als het zwakste schakel..meer hoef ik niet te zeggen. Volgens mij moet je baas eens ingelicht worden..
En dat het bij Rijkswaterstaat beter kan met de beveiliging dat is duidelijk..er wordt nu vooral gewerkt met de formele kant..regels..zoals het VIR... Maar krakers hebben andere regels..
Overigens denk niet dat het bij bedriven beter is...want deze site laat dit genoeg zien..

Just for the record...
Ten eerste: quoten doe je ONDER de originele posting.
Ten tweede: get your facts straight!
Meet Informatie Dienst, MID, bestaat niet. Je zult de Meetkundige Dienst, MDI (of MD) bedoelen.
Die is inderdaad opdrachtgever cq. contracthouder m.b.t. alles wat met Consortis (niet Consortus!) te maken heeft.

Ik snap niet hoe dit bericht nu ineens nieuwswaarde heeft gekregen.
Het is al maanden bekend en heeft verder weinig interessants te melden. Het intranet van V&W heeft zo'n 15.000 werkplekken en die zijn op hun beurt onderverdeeld op 10-tallen locaties in het hele land. Ik ken geen enkel netwerk van die grote dat wel goed beveiligd is.
Het is een vrijwel onmogelijke taak om een dergelijk netwerk, dat in de loop van vele jaren (krom) gegroeid is, helemaal dicht te timmeren.
Natuurlijk is het allemaal een kwestie van 'budget' en we weten allemaal dat security nog steeds een ondergeschoven kindje is.
Een 'audit', zoals is uitgevoerd door de 'hacker', is bedoeld om 'awareness' te kweken in de organisatie en natuurlijk voornamelijk bij het management, zodat er geld vrijgemaakt kan worden. :-)
Echter, bij een organisatie als V&W, waarbij iedereen op zijn eigenlijk eilandje leeft en de lokale systeembeheerders de macht hebben en iedereen ook zijn eigen budget, is het vrijwel onmogelijk om hier een goed gecoordineerde security structuur en policies door te voeren.
Iedereen schuift de verantwoordelijkheid namelijk door naar een ander onderdeel van de organisatie, zodat zij er zelf geen budget voor hoeven te reserveren.
Tja, zo gaat dat (te) vaak in de ambtenarij. :-/
Wat Consortis beteft; die zijn volgens mij alleen verantwoordelijk voor de netwerk infrastructuur en een aantal webserver platforms, maar zeker NIET voor de policies in de locale netwerken / systemen.
Ik ben het wel met je eens dat iedereen en dus ook Consortis, een bepaalde verantwoordelijkheid inzake security heeft.
De vraag is natuurlijk wel in hoeverre dit in de contracten is vastgelegd en hoeveel budget daarvoor gereserveerd is.
Ik denk dat het nog een _lange_ tijd zal duren voordat de security op een acceptabel niveau is.
En dat geldt niet alleen voor het Ministerie van V&W, maar in het algemeen.

Zo, dat was weer een typisch het-is-zondag-en-ik-verveel-me lulverhaal. ;-)

Om verdere misverstanden te voorkomen: ik ben niet betrokken, noch werkzaam bij een van de bovengenoemde organisaties.
11-02-2002, 09:44 door Anoniem
Originally posted by
Het intranet van V&W heeft zo'n 15.000 werkplekken en die zijn op hun beurt onderverdeeld op 10-tallen locaties in het hele land. Ik ken geen enkel netwerk van die grote dat wel goed beveiligd is.
[/QUOTE]Belastingdienst 33.000 werkplekken wel aardig goed dicht getimmerd.


Het is een vrijwel onmogelijke taak om een dergelijk netwerk, dat in de loop van vele jaren (krom) gegroeid is, helemaal dicht te timmeren.
Verscheidene financiele instellingen, en verder alle early ICT adopters......
He? Ik beschrijf alle multinationals.....


Overigens zijn V&W al gewaarschuwd voordat ze uberhaupt met werkplek automatisering zijn begonnen.
Toen men in proef fase al begonnen met internet op de werkplek -terwijl er nog niets over werkplek automatisering besloten was- was het hek al van de dam.

Je verschuilen achter de wildgroei is een mooie, maar al die Unix -HP-UX met name- machines in je infrastructuur en die DURE netwerk componenten zijn juist het probleem niet.
11-02-2002, 15:52 door Anoniem
Dat netwerken gaten hebben verbaasd niemand.

Wat mij verbaast is dat deze info "op straat" ligt.
Als wij een pentest uitvoeren is er wederzijds begrip (ook contractueel) dat deze informatie alleen vertrekt mag worden aan geauthoriseerd personeel en als wij het vermoden hebben dat deze mensen onzorgvuldig omgaan met informatie is dat de eerste conclusie van ons rapport.

Wij gaan dan geen wachtwoord ezelsbruggetjes voorkouwen maar brengen deze mensen juist bij hoe deze met informatie om moeten gaan.

Het uitlekken bewijst maar weer eens dat de meeste van deze (technische) testen niets bewijst. Temeer omdat een technische scan een moment opname is. De enige conclusie uit zo'n test kan zijn: Nou, tot nu toe is uw netwerk veilig of onveilig maar over 5 min. zou ik het niet meer weten.

Grtz,

Vortz
12-02-2002, 08:04 door Anoniem
Je zou je misschien eerst eens moeten verdiepen in dit nieuwsbericht voordat je allerlei onzin zit te vertellen om je zelf te promoten. Dan zou je vanzelf zien dat de vragen hoe, waarom, en waar het fout gegaan is beantwoord worden.
Waaruit maak je op dat er geen wederzijds begrip is, of geen contract?
12-02-2002, 13:44 door Anoniem
Originally posted by
Je zou je misschien eerst eens moeten verdiepen in dit nieuwsbericht voordat je allerlei onzin zit te vertellen om je zelf te promoten. Dan zou je vanzelf zien dat de vragen hoe, waarom, en waar het fout gegaan is beantwoord worden.
Waaruit maak je op dat er geen wederzijds begrip is, of geen contract?

Anonymooz posten = slechte opvoeding.
13-02-2002, 01:25 door Anoniem
Beetje kort door de bocht.

Wellicht laat mijn positie het gewoon niet toe om mezelf bekend te maken. Daar zou jij toch wel begrip voor moeten hebben.
13-02-2002, 04:18 door teet
Originally posted by
Beetje kort door de bocht.

Wellicht laat mijn positie het gewoon niet toe om mezelf bekend te maken. Daar zou jij toch wel begrip voor moeten hebben.


Duh en ondertussen is mijn koffie ook al koud.
15-02-2002, 10:31 door Anoniem
Originally posted by VortexXx


Anonymooz posten = slechte opvoeding.

En ja geef meteen het slechte voorbeeld erbij

:)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.